能源行业网络安全背景现状

能源作为关系国家安全、国际民生、公共利益的关键信息基础设施，一旦遭到破坏、丧失功能或数据泄漏可能带来严重的危害。近年来，伴随5G、人工智能、工业互联网等在能源行业的不断深化应用，能源行业的安全风险日益突出，攻击方式愈发高级，攻击愈发高频，攻击者的目标从个人逐渐过渡到企业，攻击的目的也从单纯的炫技变为获利。

我国将能源网络安全上升至国家安全高度，持续出台战略、规划、立法等加快构建安全防护体系。

2020年，国家网信办、发改委等12部门联合发布《网络安全审查办法》，确保关键信息基础设施供应链安全。

2020年，国家能源局发布《中华人民共和国能源法（征求意见稿）》，要求加强能源安全储备设施建设，提升安全保障能力，并要求能源企业认真执行网络与信息安全法律、行政法规和标准。

2021年8月，《关键信息基础设施安全保护条例》正式出台，从范围、保护工作原则目标、监管体制、认定机制、运营者责任义务、保障和促进措施、法律责任等六个维度，为深入开展关基安保工作提供了法治保障。

安全风险

随着“碳达峰”、“碳中和”在2021年全国两会上首次被写入政府工作报告，如何高质量实现以上目标，将成为未来一段时期能源结构转型的必然要求。能源企业在数字化转型升级过程中将主要面临来自终端、网络、数据、应用四个方面的安全风险。

终端安全方面，智慧能源的终端分为智能手机等用户使用终端（2C）和传感器、控制器、执行器等企业应用终端（2B）两类。这些边缘区域终端具有多样的接入方式、复杂的接入条件和庞大的接入数量，容易成为安全威胁的载体。

网络安全方面，智慧能源运营中面临着数据传输泄漏、DDoS攻击、病毒木马等安全威胁。

数据安全方面，大多数传统系统不具备接口安全管理、访问控制、隐私保护、认证授权等新型安全能力。随着《中华人民共和国数据安全法》的出台实施，能源企业也将面临更严苛的数据安全合规监管。

应用安全方面，智能应用是支撑智慧能源管理与运行的具体表现，其安全涉及软件程序和运营管理两大方面。

应用安全

智能应用是支撑智慧能源管理与运行的具体表现，其安全涉及软件程序和运营管理两大方面。

数据安全

大多数传统系统不具备接口安全管理、访问控制、隐私保护、认证授权等新型安全能力。随着《中华人民共和国数据安全法》的出台实施，能源企业也将面临更严苛的数据安全合规监管。

网络安全

智慧能源运营中面临着数据传输泄漏、DDoS攻击、病毒木马等安全威胁。

终端安全

智慧能源的终端分为智能手机等用户使用终端（2C）和传感器、控制器、执行器等企业应用终端（2B）两类。这些边缘区域终端具有多样的接入方式、复杂的接入条件和庞大的接入数量，容易成为安全威胁的载体。

能源行业方案概述

方案建设内容参考国家网信办发布的《关键信息基础设施安全保护条例（征求意见稿）》中第4、5、6三章的要求，从智慧能源安全产业发展的关键环节——终端安全、网络安全、数据安全、应用安全四个方面入手，构建具有能源行业特点的移动安全运营管理体系。

• 终端安全：围绕构建智慧能源终端安全的保障体系，提供终端安全检测与评估、终端密钥保护、终端代码保护等解决方案。

• 网络安全：在现有网络运营商推动的安全防护能力升级基础上，配套增加对设备供应商的5G CPE、无线网关等关键边缘通信设备的安全检测评估，包括入库、上线前的安全检测以及制定安全核查基线体系；同时，通过通信协议保护等技术，确保网络中传输的认证数据、核心业务数据的安全。

• 数据安全：对重要数据进行加密，并通过密钥白盒技术增加对密钥的安全保护措施；对终端应用采集的相关数据，按照网络产品和服务安全审查办法的要求，通过自动化隐私合规检测工具或人工合规检测评估服务，对数据采集、合规性进行审核与整改。

• 应用安全：针对自研及外包开发的软件，在上线前进行安全检测，对存在的安全缺陷、缺陷等风险，采用安全加固等措施消除风险隐患；建立针对能源应用的安全监测预警体系，实现对安全监测信息的自动化研判，同时配置对应的安全防范处置策略。

方案优势

• 方案从系统应用安全、智能终端设备安全、数据安全等角度为客户打造了纵深的防御体系，能够帮助客户快速构建智慧能源移动端可视化、全方位的安全体系。
• 提供安全服务人员保障，在安全事件发生过程中，提供重要抓手和支撑。
• 针对能源物联网、应用程序有完备的安全解决方案和丰富的案例经验，能够提供标准化、流程化、智能化的生命周期检测防护和监测应急响应能力。
• 龙之晨安全是《信息安全技术 网络安全等级保护测评要求》的主要起草单位之一，基于对政策的深刻理解制定的方案能更好地满足国家、行业的标准要求。

涉及产品

• 终端安全：

固件安全检测、密盾、物联网应用加固、物联网人工渗透测试、源码检测、EMM

• 网络安全：

通信智能边缘设备（5G CPE、家庭网关类设备）的固件安全检测、通信协议保护

• 数据安全：

密盾、合规检测平台、人工合规审计服务

• 应用安全：

应用安全测评、加固、密盾、移动安全监测平台、安全SDK、合规检测平台、人工合规审计服务、渠道监测、源码检测、EMM